作者：罗添

就在Microsoft最新的操作系统Windows Vista即将正式面对普通用户前一周，原863安全专家、现微点公司总经理刘旭抛出“Vista重大安全漏洞论”。在秘而不宣一周之后，昨日刘旭终于召开了记者招待会，公布Vista重大漏洞。

微点:Vista存在重大漏洞

刘旭表示，Microsoft为了提高系统安全性，在Windows Vista中引进UAC(用户账户控制)新技术，要求所有用户以标准用户模式运行，而没有超级管理员的权限。UAC就像在系统和恶意程序间建立了一个隔离保护墙，从而极大地提高了系统的安全性。

但Vista在这套新机制的技术实现时，出现了重大安全隐患。刘旭通过演示指出，Vista存在重大安全漏洞。利用这个漏洞，用户可完全绕过UAC机制。普通用户也可以拥有超级管理员的权限，使UAC形同虚设。

不过，刘旭在接受记者采访时也承认，要绕过UAC机制，首先必须拥有系统的超级管理员权限才能破解UAC的令牌机制。

Microsoft:不是安全漏洞

记者在采访Microsoft安全战略顾问裔云天时，裔云天对微点的指责表示疑异。裔云天表示用户必须在物理本地接触到操作系统，必须在拥有超级管理员的权限下安装微点提供的特定软件，这样才能让远程的普通用户获得超级管理员的权限。

裔云天用一个形象的比喻来形容所谓安全漏洞。“这就好像我作为一个房子的主人，用自己的钥匙打开了房间，自己打开了窗户。然后小偷从窗户中钻进来盗窃。问题的关键是，如果没有我的钥匙，我也不开窗户，小偷如何能闯得进来？”裔云天反问记者。

双方多次沟通未果

实际上，刘旭以东方微点的名义在本月12日用电子邮件的方式就向Microsoft提交了安全问题。Microsoft负责系统安全问题的相关人士多次和刘旭进行了E-mail交流。不过由于双方未能就“何为安全漏洞”的定义达成一致，刘旭便以召开新闻发布会的方式向公众通报此事。刘旭对此做法的解释是“我们希望引起Microsoft对这个问题的重视”。刘甚至表示，这证明中国安全厂商的实力，中国安全公司在技术上落后的时代已一去不复返了。

不过，据记者了解，东方微点同时推出了针对这个问题的软件产品。刘旭对记者确认了此事，并表示：“我们之所以在发布会上对新产品只字不提，就是希望公众不要认为我们是自我炒作。”

Microsoft在得知刘旭发布了Microsoft安全漏洞之后，已第一时间就此事发布了公告。公告称，业界对系统漏洞的普遍理解是，如果在普通用户权限下能够安装软件来篡改系统使得普通用户获得系统管理员的权限，将说明存在系统漏洞，而微点的演示并没有表明可以这样，并且在和该公司的所有沟通过程中也没有表明可以从远程来对系统进行攻击，因此Microsoft明确认为“这个问题不是一个操作系统的漏洞”。最后Microsoft感谢微点公司对Windows Vista安全问题的关注。